トップ セキュリティ情報 2020年度 【注意喚起】2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起

【注意喚起】2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起

2020年12月21日 南大沢 日野 荒川

2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起がありました。


I. 概要
マイクロソフトから 2020年12月のセキュリティ更新プログラムが公開されました。
本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。
脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。

脆弱性の詳細は、次の URL を参照してください。

2020 年 12 月のセキュリティ更新プログラム

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]
※ 同一の脆弱性において、複数の KB に及ぶ場合には、それぞれを記載します。

CVE-2020-17095
Hyper-V のリモートでコードが実行される脆弱性
- KB4592438, KB4592440, KB4592446, KB4592449, KB4593226

CVE-2020-17117
Microsoft Exchange のリモートでコードが実行される脆弱性
- KB4593465, KB4593466

CVE-2020-17118
Microsoft SharePoint のリモート コードが実行される脆弱性
- KB4486751, KB4486753, KB4493138, KB4493149

CVE-2020-17121
Microsoft SharePoint のリモート コードが実行される脆弱性
- KB4486751, KB4486753, KB4493138, KB4493149

CVE-2020-17131
Chakra スクリプト エンジンのメモリ破損の脆弱性
- KB4592438, KB4592440, KB4592449

CVE-2020-17132
Microsoft Exchange のリモートでコードが実行される脆弱性
- KB4593465, KB4593466

CVE-2020-17142
Microsoft Exchange のリモートでコードが実行される脆弱性
- KB4593465, KB4593466

CVE-2020-17152
Microsoft Dynamics 365 for Finance and Operations (オンプレミス) のリモート コード実行の脆弱性
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

CVE-2020-17158
Microsoft Dynamics 365 for Finance and Operations (オンプレミス) のリモート コード実行の脆弱性
※ 本脆弱性は、KB番号が採番されていないため、記載はありません

** 更新: 2020年12月17日 **********************************************
マイクロソフト株式会社は、2020年11月10日 (米国時間) に Kerberos KeyDistribution Center (KDC) のセキュリティ機能のバイパスの脆弱性(CVE-2020-17049) を公開しています。本脆弱性は、Kerberos Constrained Delegation (KCD) を使用するように構成された侵害対象のサービスに対して、委任に無効なサービスチケットを改ざんし、KDC に強制的に受け入れさせる可能性があります。

CVE-2020-17049
Kerberos KDC のセキュリティ機能のバイパスの脆弱性

JPCERT/CC では 2020年12月8日に本脆弱性を実証するコード (PoC) が公開されていることを確認しています。

マイクロソフトは本脆弱性に対する修正プログラムの提供を、2020年12月9日以降にリリースされた Windows 更新プログラムの初期展開フェーズと、2021年2月10日以降にリリースされる Windows 更新プログラムの強制フェーズの 2段階にわけて実施を予定しています。
対応にあたっては、現時点では 12月9日の更新プログラムの適用に加えて、強制モードへのレジストリの設定変更が必要となります。実施に当たっては十分に影響を確認の上行ってください。詳細はマイクロソフトが提供する情報を確認してください。

マイクロソフト株式会社
CVE-2020-17049 に対する Kerberos S4U の変更の展開管理

**********************************************************************


II. 対策
Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。
Microsoft Update カタログ
Windows Update:よくあるご質問

III. 参考情報
マイクロソフト株式会社
2020 年 12 月のセキュリティ更新プログラム

マイクロソフト株式会社
2020 年 12 月のセキュリティ更新プログラム (月例)

________

改訂履歴
2020-12-09 初版
2020-12-17 「I. 概要」の更新

ページ上部へ戻る